Лабораторная работа № 1-D

Защита корпоративного мессенджера

Доберштейн А. С., Оразгелдиев Я. О., Барабанова К. А.

Российский университет дружбы народов, Москва, Россия

Информация

Докладчик

  • Доберштейн А. С., Оразгелдиев Я. О., Барабанова К. А.
  • НФИбд-02-22
  • Российский университет дружбы народов

Цель работы

Основной целью работы является получение навыков обнаружения и устранение уязвимостей WordPress-wpDiscuz, Proxylogon, Rocket.Chat и их последствий.

Выполнение лабораторной работы

Для начала изучили вектор атаки, адреса злоумышленника и атакуемых серверов.

Вектор атаки

Уязвимость WordPress-wpDiscuz

Залогинились в ViPNet для обнаружения уязвимости в журнале событий.

Вход в ViPNet

Уязвимость WordPress-wpDiscuz

В “Событиях” обнаружили событие AM Exploit Wordpress с программным кодом, предназначенным для эксплуатации уязвимости

Журнал событий

Уязвимость WordPress-wpDiscuz

Изучили информацию по CVE-коду об обнаруженной уязвимости, изучили рекомендации по нейтрализации.

Обзор уязвимости

Уязвимость WordPress-wpDiscuz

Для устранения уязвимости подключились к удаленному рабочему столу по адресу 10.140.2.180

Подключение к удаленному рабочему столу

Уязвимость WordPress-wpDiscuz

Вошли под указанной учетной записью.

Вход

Уязвимость WordPress-wpDiscuz

В соответствии с вектором атаки в KeePass нашли CMS WordPress.

KeePass

Уязвимость WordPress-wpDiscuz

Просмотрели сайт WordPress по указанному адресу. Здесь обнаружили последствие - Deface - изменение внешнего вида интерфейса.

Deface

Уязвимость WordPress-wpDiscuz

В панели администрирования перешли во вкладку с плагинами и деактивировали плагин wpDiscuz

Плагин wpDiscuz

Уязвимость WordPress-wpDiscuz

Для того, чтобы устранить последствие Deface, необходимо откатить сайт до предыдущей резервной копии. Для этого перешли в панель администрирования и во вкладке с плагинами нашли плагин UpdraftPlus - Backup/Restore, перешли в “Settings”.

Плагин UpdraftPlus - Backup/Restore

Уязвимость WordPress-wpDiscuz

Выбрали последнюю резервную копию и нажали “Restore”.

Restore

Уязвимость WordPress-wpDiscuz

Поставили флажки у компонентов “Themes” и “Uploads”.

Параметры восстановления

Уязвимость WordPress-wpDiscuz

Во всплывшем окне с ошибкой нажали “Удалить старые директории”

Удаление старых директорий

Уязвимость WordPress-wpDiscuz

Когда директории удалились, нажали “Return to UpdraftPlus configuration”

Восстановление версии

Уязвимость WordPress-wpDiscuz

Обновили страницу сайта. Убедились, что последствие Deface успешно устранено.

Устранено последствие

Уязвимость WordPress-wpDiscuz

Перешли в Putty web-portal, чтобы проверить сокеты на наличие подозрительных процессов с помощью утилиты ss.

Проверка процесов

Уязвимость WordPress-wpDiscuz

Уничтожили вредоносные соединения с помощью команды kill {pid}. Убедились в их отсутствии.

Уничтожение вредоносных процессов

Уязвимость WordPress-wpDiscuz

Первая уязвимость с ее последствием успешно устранены

Успех

Уязвимость Proxylogon

Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.

Журнал событий

Уязвимость Proxylogon

Изучили информацию об обнаруженной уязвимости.

Обзор уязвимости

Уязвимость Proxylogon

В соответствии с вектором атаки в KeePass нашли MS Exchange.

KeePass

Уязвимость Proxylogon

Подключились к удаленному рабочему столу по адресу в соответствии с вектором атаки. Открыли Internet Information Services Manager.

inetmgr

Уязвимость Proxylogon

Перешли в /MAIL/Sites/Default Web Site/ecp

inetmgr

Уязвимость Proxylogon

Перешли в IP Address and Domain Restrictions, в “Actions” выбрали “Edit Feature Settings”, в открывшемся окне в параметре “Access for unspecified clients” выбрали “Deny”.

inetmgr

Уязвимость Proxylogon

Далее открыли терминал, чтобы обнаружить вредоносные процессы с помощью утилиты netstat.

Вредоносные процессы

Уязвимость Proxylogon

Вредоносные процессы

Уязвимость Proxylogon

Остановили эти процессы и проверили их отсутствие.

Вредоносные процессы

Уязвимость Proxylogon

Далее в директории /C:/Program Files/Microsoft/Exchange Server/V15/FrontEnd/HttpProxy/owa/auth удалили файл AM_Backdoor.aspx

Удаление файла .aspx

Уязвимость Proxylogon

Уязвимость Proxylogon и ее последствие China Chopper успешно устранены.

Успех

Уязвимость Rocket.Chat

Вернулись в ViPNet для обнаружения подозрительной активности в журнале событий.

Журнал событий

Уязвимость Rocket.Chat

Изучили информацию об обнаруженной уязвимости.

Обзор уязвимости

Уязвимость Rocket.Chat

В соответствии с вектором атаки в KeePass нашли RocketChat.

KeePass

Уязвимость Rocket.Chat

Открыли веб-версию Rocket.Chat и нажали на сброс пароля для указанной учетной записи.

Сброс пароля

Уязвимость Rocket.Chat

На почту администратора Rocket.Chat было направлено email-письмо с инструкциями по сбросу пароля.

Сообщение об отправке email

Уязвимость Rocket.Chat

В консоли от администратор просмотрели это письмо. Скопировали ссылку со сгенерированным токеном для сброса пароля.

Инструкция по сбросу пароля

Уязвимость Rocket.Chat

Перешли по скопированному адресу в браузере

Сброс пароля

Уязвимость Rocket.Chat

Задали новый пароль для пользователя

Сброс пароля

Уязвимость Rocket.Chat

Просмотрели /home/user/backup_codes для прохождения двухфакторной аутентификации при сбросе пароля.

Backup_codes

Уязвимость Rocket.Chat

Ввели один из них в соответствующее поле ввода.

Сброс пароля

Уязвимость Rocket.Chat

Залогинились с измененным паролем.

Вход в учетную запись

Уязвимость Rocket.Chat

В панели администриования перешли в “Права доступа”, и для роли “User” поставили флажок “User must use Two factor Authentication”.

Права доступа

Уязвимость Rocket.Chat

Перешли во вкладку “Учетные записи” и настроили подтверждение адреса электронной почты при регистрации для роли “User” и автоматическую настройку двухфакторной аутентификации по электронной почте для новых пользователей.

Настройки двухфакторной аутентификации

Уязвимость Rocket.Chat

Настройки регистрации

Уязвимость Rocket.Chat

В терминале администратора Rocket.Chat-server отредактировали файл mongod.conf, расскомментировав параметр “security:” и прописав отключение выполнения JavaScript на стороне сервера базы данных “javascriptEnabled: False”.

Редактирование mongod.conf

Уязвимость Rocket.Chat

Перезапустили службу mongod.service

Restart mongod.service

Уязвимость Rocket.Chat

С помощью утилиты ss обнаружили и остановили вредоносные процессы.

Уничтожение вредоносных соединений

Уязвимость Rocket.Chat

Уязвимость RocketChat RCE и ее последствие meterpreter успешно устранены.

Успех

Завершение выполнения лабораторной работы

Заполнили карточки инцидентов для уязвимостей и их последствий.

Карточки инцидентов

Выводы

В результате выполнения лабораторной работы мы получили навыки обнаружения и устранение уязвимостей WordPress-wpDiscuz, Proxylogon, Rocket.Chat и их последствий.